핵심 요약

  • 응용 통제는 정보 시스템이 거래를 정확하게 기록, 계산, 분류하도록 보장합니다.
  • ISA 315에 따르면 감사인은 이러한 통제의 설계와 운영 효과성을 이해해야 합니다.
  • 많은 감사 팀이 응용 통제를 일반 IT 통제(일반화 통제)와 혼동하여 테스트 결과를 잘못 평가합니다.
  • ISA 315.A88에 따르면 응용 통제의 신뢰성은 기저 IT 환경(접근 관리, 변경 통제)에 의존하므로, 응용 통제만 테스트하고 일반화 통제를 건너뛰면 결론이 불완전합니다.

작동 원리

응용 통제는 거래 진행 단계마다 작동합니다. ISA 315.33은 감사인이 정보 시스템이 거래를 정확히 기록하는지 이해해야 한다고 요구합니다. 예를 들어 매출 시스템이 주문, 배송, 송장 발행 단계에서 금액 일치 검사를 수행하는지, 미인가 거래를 자동으로 거부하는지 확인합니다.
응용 통제에는 두 가지 유형이 있습니다. 첫째, 데이터 검증 통제로, 시스템이 입력된 수량이나 가격이 정해진 범위 안에 있는지 확인합니다. 둘째, 일치 통제로, 서로 다른 시스템의 자료(구매 주문과 수령 보고, 혹은 송장과 청구서)를 비교합니다. 두 번째 유형의 통제 실패는 순환 오류(reconciliation error)를 발생시킵니다.
ISA 315.A88에서는 응용 통제의 신뢰성이 기저 IT 환경(데이터 접근 관리, 변경 통제)에 달려 있음을 명시합니다. 응용 통제가 고도로 자동화되어 있어도 그 시스템에 무단 접근이 가능하거나 변경 기록이 없으면 통제는 작동하지 않는 것과 같습니다.

실무 사례: 한진산업 주식회사

기업 개요: 한국 제조업체, 2024년도 매출 680억 원, K-IFRS 보고, ERP 시스템(SAP) 운용
상황: 외상매출금 수정자 테스트 중 매출 인식 오류 위험이 중간 정도 이상으로 판단됨.
1단계 - 거래 흐름 추적
영업팀이 주문 시스템에 계약금 비율을 입력하고 ERP 매출 모듈은 이 비율에 따라 매출액을 자동 계산합니다. 한진산업의 주문-청구 프로세스는 네 단계(주문 입력, 배송 실행, 공식 송장 생성, 거래 기록)로 구성됩니다.
문서화 노트: 통제 아키텍처 조서에 네 단계를 기술하고, 각 단계의 입력과 출력 데이터를 명기합니다.
2단계 - 응용 통제 식별
SAP에서 세 가지 응용 통제를 찾았습니다. (1) 배송 수량이 주문 수량을 초과하면 자동으로 거부합니다. (2) 청구 금액이 배송 기록과 일치하지 않으면 "보류" 상태로 표시합니다. (3) 특정 고객 범주(신용도 등급 3 이하)에는 선수금 없이 거래가 진행되지 않습니다. 세 번째는 수동 승인 통제입니다.
문서화 노트: 통제 목록 조서에 각 통제의 목표, 실행 위치(자동/수동), 위험 항목을 기입합니다.
3단계 - 설계 유효성 평가
통제 설계를 시스템 관리자 및 운영 담당자와 확인했습니다. 배송 수량 검증과 청구 대조는 실제 구성된 상태로 확인됐습니다. 선수금 검증은 부분적으로만 자동화됐고, 나머지는 영업 관리자의 수동 검토에 의존합니다. "보류" 상태인 거래(월 평균 3~5건)는 영업 담당자가 해당 이유를 조사해야 합니다.
문서화 노트: 시스템 구성 스크린샷(민감정보 제거)과 통제 절차 설명 문서를 조서에 부착합니다.
4단계 - 운영 효과성 테스트
지난 12개월간 발생한 보류 거래 45건 중 10건을 무작위로 샘플링했습니다. 모든 샘플에서 청구액이 배송 기록과 일치하지 않는 사실이 확인됐고, 영업 담당자의 조정 메모가 기록되어 있었습니다. 추가로 거래 로그에서 금액 수정 7건을 찾았는데, 모두 "보류" 상태에서 승인된 거래였습니다. 수동 선수금 검증에 관해서는 선택 기간(3월) 동안 신용도 3 이하 고객 19건을 검토했고, 전원 선수금이 징수되었음을 확인했습니다.
문서화 노트: 테스트 샘플 ID, 확인 결과, 예외 사항을 테스트 결과 조서에 상세히 기입합니다.
결론
세 가지 응용 통제 모두 설계되었으며 테스트 기간 동안 효과적으로 운영되었습니다. 자동화된 검증 및 대조 통제는 거래 처리 전에 오류를 적시에 탐지했습니다. 수동 승인 통제도 정책에 따라 운영되었으나, 이 통제의 신뢰성은 담당자 교대, 휴가, 부재 시 감소할 수 있습니다. 따라서 이 통제만으로는 불충분하며 감사인은 보완 테스트(월별 거래 대조, 선수금 수령 기록 검증)를 계획해야 합니다.

감시자와 실무자들이 놓치는 사항

  • ISA 315 감시 지적: 많은 감사 팀이 응용 통제를 확인했다고 문서화하면서 실제로는 IT 담당자의 말만 기록합니다. ISA 315.33(c)는 감사인이 '이해'해야 한다고 요구하며, 이는 시스템 내에서 통제가 실제로 구성되었음을 확인하거나 거래 샘플의 처리 과정을 추적함을 의미합니다.
  • 운영 효과성 테스트의 누락: 설계가 완벽해도 운영상 실패가 있을 수 있습니다. 예를 들어 일일 이상거래 리포트를 생성하도록 프로그래밍된 시스템이라도 담당자가 그 리포트를 검토하지 않으면 통제는 존재하지 않는 것입니다. ISA 315.A90은 자동 통제라도 그 통제가 실제로 작동하도록 기저 조건(사용자 훈련, 데이터 정확성, 시스템 유지보수)이 갖춰져야 함을 명시합니다.
  • 일반화 통제와의 혼동: IT 일반화 통제(정보 시스템 접근 관리, 변경 통제)는 응용 통제가 신뢰할 수 있도록 보장하는 환경 통제입니다. 응용 통제 테스트를 진행할 때 기저 일반화 통제의 약점(무단 접근, 감시되지 않은 변경)을 고려하지 않으면 결론이 부정확할 수 있습니다.
  • 수동 보완 통제의 테스트 누락: 자동화된 응용 통제가 예외 거래를 "보류" 상태로 표시해도 담당자가 이를 검토하고 조치하는 수동 절차가 작동해야 합니다. ISA 315.A91은 자동 통제와 수동 통제가 결합된 경우 모두를 테스트하도록 요구합니다. 보류 상태 거래의 처리 빈도, 평균 처리 기간, 미처리 건수를 확인하지 않으면 통제의 운영 효과성을 입증할 수 없습니다.

응용 통제 vs. 일반화 통제

| 측면 | 응용 통제 | 일반화 통제 |
|------|---------|----------|
| 목표 | 특정 거래의 정확성, 완전성, 승인 보장 | 모든 거래 처리 환경의 무결성 보장 |
| 작동 위치 | 업무 프로세스 내(매출, 구매, 급여) | 정보 시스템 전체(접근, 변경, 백업) |
| 테스트 범위 | 선택된 거래 샘플 또는 시스템 구성 검증 | IT 정책 준수, 로그 검토, 문서 검증 |
| 운영 책임 | 업무 담당 부서 | IT 부서 |
| ISA 참조 | ISA 315.33, ISA 315.A87-A90 | ISA 315.A90, ISA 330 |

실무에서 구분이 중요한 이유

응용 통제와 일반화 통제를 혼동하면 감사 범위와 결론이 왜곡됩니다. 예를 들어 "ERP 시스템 접근 권한이 정확하게 설정되었다"는 일반화 통제 결론이 "매출 금액 자동 계산이 정확하다"는 응용 통제 결론을 자동으로 보장하지 않습니다. 반대로, 응용 통제의 설계가 우수해도 시스템에 무단 접근이 가능하면 통제는 무의미합니다. 감사인은 두 가지 수준의 통제를 독립적으로 평가해야 합니다.

관련 용어

  • 거래 순환: 응용 통제는 거래 순환의 각 단계에서 작동합니다.
  • 일반화 통제(IT 환경): 응용 통제의 신뢰성을 뒷받침하는 기저 환경 통제입니다.
  • 통제 테스트: 응용 통제의 설계 유효성과 운영 효과성을 입증하는 감사 절차입니다.
  • ISA 315 개정: 응용 통제의 식별 및 이해 요구사항을 다룹니다.
  • 정보 시스템 감시: IT 환경의 통제를 평가하는 전문 영역입니다.
  • 감사 의견 형성: 응용 통제 테스트 결과는 충분한 감사 증거 수집에 기여합니다.

계산 도구

ciferi의 응용 통제 테스트 플래너 도구를 사용하여 거래 흐름에서 통제 포인트를 식별하고, 각 통제의 테스트 방법과 샘플 크기를 계획할 수 있습니다. 이 도구는 ISA 315.33의 요구사항에 맞춰 거래 순환별 통제 매트릭스를 작성할 수 있도록 설계되었습니다.
---

실무 감사 인사이트를 매주 받아보세요.

시험 이론이 아닙니다. 감사를 빠르게 만드는 실질적인 내용입니다.

290개 이상의 가이드 게시20개 무료 도구현직 감사인이 구축

스팸 없음. 저희는 감사인이지 마케터가 아닙니다.